我一直认为使用内部域名( company.local或company.corp )作为Active Directory而不是( company.com或company.pl )。 最近我们认为通过使用外部域名,我们可以获得像Exchange,Sharepoint等证书一样的优势,内部和外部名称将完全相同,从而不必购买特殊证书。
两者的优点和缺点是什么? 这样做有什么潜在的问题,这可能是一个很大的优势?
在过去的十年里,我已经构build并支持了数十个Active Directory林,其中包括构build10个用户的SBS服务器,接pipe对拥有50多个DC的6,000个用户林的pipe理,并重新devise整个事务。 如果你的计划正确,我可以说我没有理由不把你的.com互联网域名用于AD森林名称。 由于Bonjour与较旧的Mac OS X版本不兼容,微软停止推荐使用.local域名,原因在于引用。 从Win2000开始,将主域名作为子域的“无成员”根域的想法也由于现在更好的工具和pipe理而出现在窗口之外。
互联网和AD领域的“裂脑”DNS的理由是一样的:
劣势:
DNSpipe理是您将遇到的主要麻烦。
域中的系统希望能够在请求域的FQDN时为域控制器parsing。 如果您的用户想要通过将company.com放入他们的浏览器来访问网站,那么这是一个问题; 该DNS条目必须指向域控制器(并且用户将需要为该网站inputwww.company.com )。
同样,您的Active Directory服务器将被设置为对company.com区域具有权威性。 所以,你将有效地pipe理该区域的两个副本。 活动目录中的一个,以及互联网用户将看到的一个。 所有内部用户需要访问的条目都需要在两个地方创build和更新。
您引用证书的优点可能会带来一些DNS欺骗,而不一定需要永远承诺重叠。 另一方面,从可用性的angular度来看,用户的电子邮件地址与用户主体名称相匹配是有帮助的。
因为参与了一个漫长的(也是非常昂贵的)广告迁移项目,我已经成为了一个关于你的公司名称是“通用”的内部广告的粉丝。 如果您所处的业务可能会被收购或与其他业务合并,您可能会发现,由于业务决策,您不一定需要更改广告域名。
例如,如果您在鞋业,您可以购买像corpshoe.net这样的域名,并仅将其用于活动目录。 您的企业网站和电子邮件可以保持与您的常规域名相同,如果您的公司更改,您的广告不必。
我也相信你应该在外部世界拥有你的广告名称。 它只是让一切都变得简单。